administrator i inspektor ochrony danych osobowych

Podobne dokumenty
Minimalna stawka godzinowa dla umowy zlecenia

Dokumentacja pracownicza 2019

USTAWA O SYSTEMIE INFORMACJI W OCHRONIE ZDROWIA

Kodeks spółek handlowych. Stan prawny na 21 sierpnia 2018 r.

W SERII ABC PRAKTYKI PRAWA OŚWIATOWEGO UKAZAŁY SIĘ:

OCHRONA DANYCH OSOBOWYCH W ORGANIZACJI POZARZĄDOWEJ

Pomoc osobom uprawnionym do alimentów zmiany w ustawie

Wydatkowanie i rozliczanie środków unijnych w zamówieniach publicznych. Praktyczny komentarz Pytania i odpowiedzi Tekst ustawy

OCHRONA DANYCH OSOBOWYCH

KOMENTARZ. Rozporządzenie w sprawie dokonywania i rozpatrywania zgłoszeń znaków towarowych. Marta Lampart. Zamów książkę w księgarni internetowej

ustawa o podatku od sprzedaży detalicznej

Kodeks postępowania administracyjnego. Stan prawny na 9 sierpnia 2018 r.

rodo ochrona danych osobowych w stosunkach pracy Edyta Jagiełło-Jaroszewska, Daria Jarmużek Paulina Zawadzka-Filipczyk

zatrudnianie pracowników tymczasowych

Zamów książkę w księgarni internetowej

Nadzór pedagogiczny w szkole i przedszkolu

ŚWIADECTWO PRACY PO ZMIANACH

OchrOna danych OsObOwych w postępowaniach sądowych i przed organami administracji publicznej

E-PORADNIK REFAKTUROWANIE USŁUG

SPRAWOZDANIA PODATKOWE

Świadczenia rodzinne po zmianach od 1 stycznia 2016

Wdrożenie ogólnego rozporządzenia o ochronie danych osobowych

Opłaty za pobyt w domu pomocy społecznej

KPW Kodeks postępowania w sprawach o wykroczenia

ustawa o gospodarce komunalnej

centralizacja rozliczeń vat w samorządach

PRAWO KARNE SKARBOWE. Magdalena Błaszczyk Monika Zbrojewska. Zamów książkę w księgarni internetowej

Jarosław Feliński. Ochrona danych osobowych w oświacie

ochrona danych osobowych w sektorze publicznym Mirosław Gumularz

OCHRONA DANYCH OSOBOWYCH W SĄDACH I PROKURATURZE

E-PORADNIK ŚWIADCZENIA NA RZECZ PRACOWNIKÓW

ustawa o akredytacji w ochronie zdrowia

W SERII UKAZAŁY SIĘ: O 2. J G VAT T B VAT. P K Z K. W A G, A S, A C D D S G,, E Ś O M J, S K

Spis treści. Wykaz skrótów... Wykaz literatury... O Autorach... Wprowadzenie...

Ustawa o samorządowych kolegiach odwoławczych

ustawa o partnerstwie publiczno-prywatnym

WZORY PISM PISMA W SPRAWACH INTERPRETACJI PRAWA PODATKOWEGO WYJAŚNIENIA, POSTĘPOWANIE, ORZECZNICTWO REDAKCJA NAUKOWA JACEK BROLIK

PRAWO O NOTARIACIE KODEKS ETYKI ZAWODOWEJ NOTARIUSZA KSIĘGI WIECZYSTE POSTĘPOWANIE WIECZYSTOKSIĘGOWE

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Adam Bartosiewicz Marek Jurek Artur Kowalski Radosław Kowalski Tomasz Krywan Sławomir Liżewski Łukasz Matusiakiewicz

KRO. Stan prawny na 10 sierpnia 2018 r. Kodeks rodzinny i opiekuńczy. Prawo o aktach stanu cywilnego

Ochrona danych osobowych - przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami, przygotowanie się do zmian.

Prawo pracy w podmiotach leczniczych

Niepełnosprawność: szczególna kategoria danych osobowych

Ustawa o ochronie. danych osobowych. Komentarz. redakcja naukowa Dominik Lubasz

korzystanie z zasobów osób trzecich w zamówieniach publicznych Katarzyna Eger

Wielość administratorów i ustawowo umocowanych realizatorów a odpowiedzialność za przetwarzanie na przykładzie kuratorów sądowych

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Ustawa o rachunkowości. Stan prawny na 24 sierpnia 2018 r.

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Dokumentacja ochrony Danych osobowych ze wzorami

18 CZERWCA 2019 WARSZAWA

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

dotacje dla szkół i przedszkoli wyboru dokonała Agata Piszko

Zapytania ofertowe i regulaminy zakupowe do euro. Praktyczny komentarz Pytania i odpowiedzi

BIULETYN 11/2017. Punkt Informacji Europejskiej EUROPE DIRECT - POZNAŃ. Ochrona danych osoboywch w Unii Europejskiej

Administrator danych w resorcie obrony narodowej

Rozdział I. Pojęcie danych medycznych i zasady ich ochrony (Mariusz Jagielski)

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Odpowiedzialność za długi spadkowe

przyjęta 12 marca 2019 r. Tekst przyjęty 1

KOMENTARZ. Prawo celne. Wiktor Poniewierka WYDANIE 1. Stan prawny na 1 listopada 2014 roku. Zamów książkę w księgarni internetowej

Jak dostosować formularze zgód pacjenta do RODO wraz z gotową checklistą 1

Ochrona danych osobowych w biurach rachunkowych

Termin i miejsce szkolenia: r, Warszawa (centrum)

Wszelkie prawa zastrzeżone.

KOMENTARZ. Ustawa o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Dorota Habrat WYDANIE 1

Ustawa o elektronicznych instrumentach płatniczych

Spis treści. Wykaz skrótów... Wykaz literatury... O Autorach... Przedmowa... Wprowadzenie... 1

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

AUTORZY. Stanisław Bułajewski (S.B.) Część II rozdziały: 2, 6, 7 Część III wybór tez i orzeczeń

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH OMÓWIENIE UNIJNEGO ROZPORZĄDZENIA (GDPR)

Kodeks spółek handlowych. ze schematami. Łukasz Zamojski SCHEMATY. 2018ŕ2019. rok akademicki

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Ochrona danych osobowych

500+ PO NOWELIZACJI W PYTANIACH I ODPOWIEDZIACH. Michał Bochenek EDYTOWALNE WZORY DOSTĘPNE NA STRONIE INTERNETOWEJ

Karta Dużej Rodziny Świadczenia rodzinne

CZĘŚĆ PIERWSZA WSTĘP. B. Ochrona na płaszczyźnie międzynarodowej str. 34

E-PORADNIK UMOWA O PRACĘ A UMOWA ZLECENIE, O DZIEŁO

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

PRAWO WYKROCZEŃ MINIREPETYTORIUM ANNA ZIENTARA. Zamów książkę w księgarni internetowej

zamówienia publiczne nowe zasady Ewa Garbarczuk, Marek Stompel

Finanse publiczne. Stan prawny na 23 sierpnia 2018 r.

ZAŁĄCZNIK SPROSTOWANIE

PRAWO ZAMÓWIEŃ PUBLICZNYCH

Nowe przepisy i zasady ochrony danych osobowych

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Wykaz ważniejszych skrótów... 7 Wstęp... 9

OCHRONA DANYCH OD A DO Z

Ordynacja podatkowa. Stan prawny na 29 stycznia 2019 r.

Spis treści. Wykaz skrótów... Wprowadzenie...

Spis treści. Wykaz skrótów... Wykaz literatury... O Autorach... Wprowadzenie...

KODEKS POSTĘPOWANIA CYWILNEGO POSTĘPOWANIE ZABEZPIECZAJĄCE

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

zastaw rejestrowy i rejestr zastawów

URLOP RODZICIELSKI, MACIERZYŃSKI, WYCHOWAWCZY... REWOLUCJA W PRZEPISACH!

Jerzy Dydenko, Tomasz Telega 12. WYDANIE KOMENTARZE PROBLEMOWE

OCHRONA DANYCH OSOBOWYCH

Funkcjonowanie apteki

Transkrypt:

administrator i inspektor ochrony danych osobowych Pozycja prawna redakcja naukowa Teresa Wyka, Marcin A. Mielczarek

administrator i inspektor ochrony danych osobowych Pozycja prawna redakcja naukowa Teresa Wyka, Marcin A. Mielczarek Zamów książkę w księgarni internetowej WARSZAWA 2019

SERIA MONOGRAFIE Stan prawny na 15 maja 2019 r. Recenzent Dr hab. Leszek Mitrus, prof. UJ Wydawca Magdalena Stojek-Siwińska Redaktor prowadzący Adam Choiński Opracowanie redakcyjne Katarzyna Świerk-Bożek Projekt okładek serii Wojtek Kwiecień-Janikowski, Przemek Dębowski Łamanie Wolters Kluwer Polska Ta książka jest wspólnym dziełem twórcy i wydawcy. Prosimy, byś przestrzegał przysługujących im praw. Książkę możesz udostępnić osobom bliskim lub osobiście znanym, ale nie publikuj jej w internecie. Jeśli cytujesz fragmenty, nie zmieniaj ich treści i koniecznie zaznacz, czyje to dzieło. A jeśli musisz skopiować część, rób to jedynie na użytek osobisty. SZANUJMY PRAWO I WŁASNOŚĆ Więcej na www.legalnakultura.pl POLSKA IZBA KSIĄŻKI Copyright by Wolters Kluwer Polska Sp. z o.o., 2019 ISBN 978-83-8160-693-6 Dział Praw Autorskich 01-208 Warszawa, ul. Przyokopowa 33 tel. 22 535 82 19 e-mail: ksiazki@wolterskluwer.pl www.wolterskluwer.pl księgarnia internetowa www.profinfo.pl

SPIS TREŚCI Wykaz skrótów... 9 Edyta Bielak-Jomaa Słowo wstępne... 11 Część I POZYCJA PRAWNA ADMINISTRATORA DANYCH OSOBOWYCH Teresa Wyka Wprowadzenie... 17 Ewa Kulesza Nowe obowiązki administratorów danych osobowych w świetle RODO... 21 Agnieszka Grzelak Obowiązek współpracy administratora danych z organem nadzorczym w świetle przepisów RODO i dyrektywy 2016/680... 45 Bogusława Pilc Pozycja administratora danych wobec organu nadzorczego... 59 Karolina Gałęzowska Współadministrowanie danymi osobowymi wybrane problemy prawne... 75

6 Spis treści Magdalena Kuba Administrator danych osobowych biometrycznych wybrane zagadnienia... 89 Część II POZYCJA PRAWNA INSPEKTORA OCHRONY DANYCH Teresa Wyka Wprowadzenie... 105 Ewa Kulesza Problem niezależności działania inspektora ochrony danych... 109 Magdalena Kuba Podstawy prawne zatrudnienia inspektora ochrony danych... 125 Arwid Mednis Odpowiedzialność inspektora ochrony danych... 137 Paweł Fajgielski Inspektor ochrony danych w sektorze publicznym... 151 Agnieszka Grzelak, Mirosław Wróblewski Inspektor ochrony danych osobowych w przepisach ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości... 163 Monika Krasińska Rola inspektora ochrony danych w podwyższaniu standardów ochrony danych osobowych w sektorze medycznym... 189 Marcin A. Mielczarek Pozycja prawna Kościelnego Inspektora Ochrony Danych... 207

Spis treści 7 Bogusława Pilc Kontrola organu nadzorczego z perspektywy inspektora ochrony danych... 223 Monika Młotkiewicz Nowe podejście do ochrony danych osobowych w wykonywaniu funkcji inspektora ochrony danych... 235 Tomasz Soczyński Kompetencje i umiejętności inspektora ochrony danych a możliwe mechanizmy certyfikacji... 245 Marta Otto Pozycja prawna inspektora ochrony danych zarys prawnoporównawczy... 261 Bibliografia... 279 Orzecznictwo... 283

Wykaz skrótów 9 WYKAZ SKRÓTÓW Akty prawne dyrektywa 95/46/WE dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. WE L 281, s. 31, ze zm.) uchylona dyrektywa 2016/680 dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L 119, s. 89, ze sprost.) k.c. ustawa z 23.04.1964 r. Kodeks cywilny (Dz.U. z 2018 r. poz. 1025 ze zm.) Konstytucja RP Konstytucja Rzeczypospolitej Polskiej z 2.04.1997 r. (Dz.U. Nr 78, poz. 483 ze zm.) KPP Karta praw podstawowych Unii Europejskiej (Dz.Urz. UE C 202 z 2016 r., s. 389) TFUE Traktat o funkcjonowaniu Unii Europejskiej (Dz.Urz. UE C 202 z 2016 r., s. 47)

10 Wykaz skrótów RODO rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1, ze sprost.) u.f.p. ustawa z 27.08.2009 r. o finansach publicznych (Dz.U. z 2019 r. poz. 869 ze zm.) u.o.d.o. z 1997 r. ustawa z 29.08.1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) uchylona u.o.d.o. z 2018 r. ustawa z 10.05.2018 r. o ochronie danych osobowych (Dz.U. poz. 1000 ze zm.) u.o.d.o.p. ustawa z 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125) u.p.p. ustawa z 6.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2017 r. poz. 1318 ze zm.) Czasopisma, zbiory orzecznictwa M. Praw. Monitor Prawniczy ONSA Orzecznictwo Naczelnego Sądu Administracyjnego ONSAiWSA Orzecznictwo Naczelnego Sądu Administracyjnego i wojewódzkich sądów administracyjnych OSNKW Orzecznictwo Sądu Najwyższego. Izba Karna i Wojskowa OSNP Orzecznictwo Sądu Najwyższego. Izba Pracy, Ubezpieczeń Społecznych i Spraw Publicznych PiZS Praca i Zabezpieczenie Społeczne Sądy i trybunały NSA Naczelny Sąd Administracyjny SN Sąd Najwyższy TK Trybunał Konstytucyjny TSUE Trybunał Sprawiedliwości Unii Europejskiej WSA Wojewódzki Sąd Administracyjny

Słowo wstępne 11 SŁOWO WSTĘPNE Jednym z najważniejszych wyzwań współczesności jest stworzenie skutecznego systemu ochrony danych osobowych. Przepisy o ochronie danych muszą bowiem stosować te podmioty, które pozyskują i wykorzystują dane osobowe w związku z działalnością zarobkową, zawodową, realizacją zadań publicznych bądź celów statutowych. Muszą więc ich przestrzegać i duże korporacje, jak na przykład firmy ubezpieczeniowe czy instytucje finansowe, i wszystkie urzędy, placówki oświaty, służby zdrowia czy organizacje pozarządowe, i sklepy internetowe czy wreszcie niewielkie rodzinne przedsiębiorstwa. Trudno wskazać dzisiaj takie obszary gospodarki, rynku, sektory i branże, których działalność nie opiera się na przetwarzaniu danych osobowych. Dzięki rozwojowi technologii dane osobowe można przetwarzać szybciej, łatwiej i taniej. Jednocześnie wykorzystywanie osiągnięć cyfryzacji, postępująca globalizacja, Internet rzeczy, zastosowanie algorytmów, big data rodzą wiele wyzwań i zagrożeń dla prywatności i ochrony danych osobowych. Stąd potrzeba takich regulacji prawnych i rozwiązań praktycznych, które, wykorzystując dostępne narzędzia techniczne, technologiczne i organizacyjne, zapewnią przetwarzanie danych osobowych z poszanowaniem prawa do prywatności i autonomii informacyjnej. Nowy system ochrony danych osobowych, na który składają się zarówno RODO, ustawa o ochronie danych osobowych, jak i przepisy sektorowe regulujące problematykę ochrony danych osobowych, należy postrzegać jako szansę na udoskonalenie i uelastycznienie mechanizmów, które z jednej strony ułatwią zarządzanie procesami przetwarzania danych w organizacji, z drugiej natomiast podniosą poziom

12 Edyta Bielak-Jomaa ochrony danych osób fizycznych. Dzięki nowemu podejściu odchodzimy bowiem od szczegółowego regulowania różnych kwestii na poziomie aktów normatywnych. Wyznaczamy cele, które należy osiągnąć. Można to jednak zrobić wyłącznie w sposób dostosowany do specyfiki działania swojej organizacji. Niezwykle ważną rolę w utrzymywaniu wysokiego, bezpiecznego standardu ochrony danych osobowych odgrywają administratorzy danych. Będzie to od nich wymagać odpowiedzialności, kreatywności i samodzielności, codziennej refleksji nad tym, jak ochronę danych uczynić częścią zarządzania instytucją, a nie jedynie formalnym obowiązkiem. Niezbędne będzie też jednocześnie podnoszenie świadomości pracowników. Dla administratorów oznacza to przede wszystkim zmianę podejścia do systemu zarządzania ochroną przetwarzanych informacji, to na nich bowiem ciąży odpowiedzialność za przestrzeganie zasad i obowiązków wynikających w nowych przepisów. Zamiast szczegółowej regulacji wszystkich procesów przetwarzania danych mamy podejście oparte na ryzyku, co oznacza dla administratora realizację najważniejszego obowiązku wykazania, że zastosował odpowiednie środki organizacyjne i techniczne oraz że to, jak przetwarza dane osobowe, spełnia wymagania RODO i oczekiwania organu nadzorczego. Nowym obowiązkiem administratora danych jest na przykład przygotowanie zabezpieczeń i procedur ochrony danych osobowych zanim w ogóle zacznie się je zbierać i przetwarzać. Chodzi tu zarówno o przeszkolenie i przygotowanie pracowników, którzy będą pracować z danymi, ale również rozwiązania technologiczne na odpowiednim poziomie (oprogramowanie i sprzęt, projektowanie oprogramowania i odpowiednie jego domyślne ustawienia). Nowemu podejściu do ochrony danych osobowych i licznym wyzwaniom z nim związanym w wielu przypadkach trudno będzie sprostać bez kompetentnego, fachowego wsparcia, jakim niewątpliwie jest inspektor ochrony danych osobowych. Prawodawca unijny wprowadził w RODO w określonych sytuacjach obligatoryjne wyznaczenie inspektorów, wzmocnił ich niezależność i pozycję, doprecyzował wymogi dotyczące ich fachowego przygotowania oraz wprowadził ochronę tych

Słowo wstępne 13 osób przed negatywnymi skutkami działań podejmowanych na rzecz ochrony danych osobowych. Określił również zakres zadań inspektorów w sposób, który wskazuje, że mają oni przede wszystkim pełnić rolę doradczą i weryfikacyjną wobec działań oraz decyzji administratorów danych i podmiotów przetwarzających dane. Wyjątkowo istotna w tym zakresie jest kwestia niezależności inspektorów ochrony danych. Motyw 97 preambuły RODO wskazuje, że inspektorzy ochrony danych bez względu na to, czy są pracownikami administratora, czy też wykonują swoje usługi na podstawie umowy o świadczenie usług powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Pojęcie niezależności trzeba odnosić przede wszystkim do wykonywania przez inspektora ochrony danych jego obowiązków i zadań, a zatem należy odczytywać je w sensie merytorycznym. Jeśli zasadniczymi zadaniami inspektora ochrony danych jest doradzanie w zakresie przestrzegania RODO oraz monitorowanie jego przestrzegania, to zadania te powinny być realizowane jedynie przy założeniu, że swoje oceny i zalecenia może formułować on w sposób suwerenny, wolny od jakichkolwiek nacisków i wpływów. Innym przejawem niezależności jest oczywiście umiejscowienie w strukturze organizacyjnej inspektor ochrony danych ma przecież podlegać najwyższemu kierownictwu. Ponadto rolą inspektora ochrony danych w organizacjach jest edukowanie wszystkich osób przetwarzających dane osobowe, w tym kierownictwa tych organizacji, co niewątpliwie pomaga sprostać wszystkim wyzwaniom związanym z budową systemu ochrony danych osobowych w Polsce. To właśnie inspektor ochrony danych szkoli pracowników, którzy są zobowiązani do wykonywania zadań zleconych im przez administratora. Kluczową rolę w tej misji inspektora odgrywa jego fachowa wiedza. Wiedza, którą inspektorzy będą upowszechniać w organizacjach, w których zostali powołani, wśród osób zaangażowanych w proces przetwarzania danych osobowych. Działalność inspektorów ochrony danych, jako fachowców wspierających podmioty publiczne i prywatne, będzie miała ogromne znaczenie dla ochrony danych osobowych w Polsce. Często podkreśla się, że dysponujący odpowiednią wiedzą, doświadczeniem, kompetencjami i umiejętnościami inspektorzy

14 Edyta Bielak-Jomaa odgrywają znaczącą rolę w zapewnieniu zgodności przetwarzania danych osobowych z nowymi unijnymi regulacjami prawnymi i stanowią fundament nowego, skutecznego systemu ochrony danych. Przekazywane do rąk Czytelników opracowanie jest zbiorem refleksji i analiz odnoszących się do pozycji administratora i inspektora ochrony danych. Podjęte przez Autorów pogłębione rozważania z całą pewnością przyczynią się w istotny sposób do lepszego zrozumienia roli, kompetencji, wzajemnych relacji i odpowiedzialności tych dwóch najważniejszych aktorów systemu ochrony danych osobowych. Przygotowana książka jest odpowiedzią środowiska naukowego i ekspertów z dziedziny ochrony danych osobowych na pojawiające się niejasności i wciąż budzące wątpliwości interpretacyjne, nowe instytucje prawne oraz narzędzia i mechanizmy, które, choć znane w systemie ochrony danych od wielu lat, to stosowane w nowej rzeczywistości prawnej mogą wywoływać niezrozumienie, budzić niepokój i obawy co do prawidłowości postępowania. Z tych względów wyrażam przekonanie, że niniejsze opracowanie w znakomity sposób przyczyni się do podniesienia poziomu wiedzy i świadomości nie tylko wśród prawników, studentów, ekspertów rynku ochrony danych osobowych, administratorów danych, inspektorów ochrony danych, ale także wszystkich, dla których problematyka w nim prezentowana jest ważna i aktualna. Edyta Bielak-Jomaa Prezes Urzędu Ochrony Danych Osobowych

Administrator danych osobowych biometrycznych wybrane zagadnienia 15 Część I POZYCJA PRAWNA ADMINISTRATORA DANYCH OSOBOWYCH

Wprowadzenie 17 Teresa Wyka WPROWADZENIE Część I niniejszej publikacji jest poświęcona pozycji prawnej administratora danych osobowych. Znalazło się w niej pięć opracowań dotyczących tej problematyki. Nie wyczerpują one całości zagadnień. Wydaje się jednak, że zostały w nich podjęte zasadnicze kwestie związane z pozycją prawną tego najważniejszego podmiotu w realizacji misji ochrony danych osobowych. Warto także podkreślić, że analizy i refleksje poczynione przez Autorów uwzględniają praktykę stosowania RODO, choć upłynęło zaledwie kilkanaście miesięcy od wejścia w życie i stosowania tego aktu prawnego. Nie ulega wątpliwości, że zasadniczym problemem, jaki pojawił się po wejściu w życie RODO, jest właściwe odczytanie nowych (w stosunku do regulacji sprzed obowiązywania RODO) obowiązków administratorów danych osobowych. Są to zarówno obowiązki wobec osób, których dane dotyczą, jak i obowiązki w zakresie zabezpieczenia przetwarzania danych osobowych. Do pierwszej grupy obowiązków zaliczono w szczególności obowiązek informacyjny, obowiązek żądania usunięcia danych, obowiązek uwzględniania sprzeciwu przeciwko przetwarzaniu danych. W drugiej zaś grupie znalazł się obowiązek oceny ryzyka przetwarzania, obowiązki organizacyjne oraz obowiązek wobec organu nadzorczego. Nowe obowiązki administratora danych osobowych oraz nowe podejście do ich

18 Teresa Wyka realizacji (oparte na ryzyku) stawia administratorów w bardzo złożonej i trudnej sytuacji prawnej 1. Do nowych obowiązków należy także obowiązek współpracy administratora danych z organem nadzorczym, który może być analizowany zarówno w świetle RODO, jak i dyrektywy 2016/680 oraz prawa krajowego wdrażającego tę dyrektywę. Oba te akty prawne wyrażają niemal w identycznej formule obowiązek współpracy z organem nadzorczym, jednak tylko RODO określa sankcje (kary finansowe) za jego naruszenie. Wspólne jest natomiast ratio legis przepisów nakładających na administratorów obowiązek współpracy z organem nadzorczym, odczytywane jako niezbędna gwarancja ochrony danych 2. Obowiązek współpracy administratora danych z organem nadzorczym rodzi zasadnicze pytanie, jaka jest jego pozycja prawna wobec organu nadzorczego. Obydwu tym podmiotom przypisano określone zadania i role, które się uzupełniają, ze szczególnym jednak podkreśleniem, że to organ nadzorczy w zakresie swoich kompetencji został wyposażony w środki prawne służące egzekwowaniu od administratora właściwego przetwarzania danych osobowych 3. Dość nową instrukcją jest instrukcja współadministrowania danymi osobowymi, która na mocy RODO uzyskała wyraźne umocowanie normatywne. W świetle tego aktu współadministrowanie następuje wówczas, gdy co najmniej dwa podmioty wspólnie ustalają cele i sposoby przetwarzania danych osobowych. Analiza przepisów RODO w tym przedmiocie rodzi jednak wiele wątpliwości co do konstrukcji prawnej stosunku współadministrowania, w szczególności jego podstawy, procedury, ustalania wspólnych celów, jak również środków służących współadministrowaniu. Pojawia się także interesujący problem współ 1 Zob. w części I E. Kulesza, Nowe obowiązki administratorów danych osobowych w świetle RODO. 2 Zob. w części I A. Grzelak, Obowiązek współpracy administratora danych z organem nadzorczym w świetle przepisów RODO i dyrektywy 2016/680. 3 Zob. w części I B. Pilc, Pozycja administratora danych wobec organu nadzorczego.

Wprowadzenie 19 administrowania wynikającego nie z treści porozumienia, ale z mocy prawa 4. Pozycja prawna administratora danych osobowych wiąże się w sposób oczywisty z problematyką ich przetwarzania. Nabiera to szczególnego znaczenia w przypadku danych szczególnie chronionych, do których należą także dane biometryczne. Uzyskały one na mocy RODO wyraźne umocowanie normatywne. Legalność ich przetwarzania rodzi jednak wątpliwości interpretacyjne zarówno na gruncie RODO, jak i w świetle nowych polskich rozwiązań prawnych 5. Teresa Wyka doktor habilitowany nauk prawnych, profesor Uniwersytetu Łódzkiego; kierownik Zakładu Prawa Ochrony Pracy w Katedrze Prawa Pracy UŁ; kierownik Centrum Ochrony Danych i Zarządzania Informacją na Wydziale Prawa i Administracji UŁ; autorka kilkudziesięciu publikacji naukowych z dziedziny prawa pracy, prawa ochrony pracy i prawa ochrony danych osobowych. 4 Zob. w części I K. Gałęzowska, Współadministrowanie danymi osobowymi wybrane problemy prawne. 5 Zob. w części I M. Kuba, Administrator danych osobowych biometrycznych wybrane zagadnienia.

Nowe obowiązki administratorów danych osobowych w świetle RODO 21 Ewa Kulesza NOWE OBOWIĄZKI ADMINISTRATORÓW DANYCH OSOBOWYCH W ŚWIETLE RODO 1. Wprowadzenie W dniu 25.05.2018 r. weszło w życie przygotowywane od kilku lat, a uchwalone 27.04.2016 r. rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Rozporządzenie jest rezultatem, jak pisała komisarz V. Reding w uzasadnieniu do pierwszego opublikowanego projektu rozporządzenia z 25.05.2012 r., krytycznej oceny sposobów wdrażania w ustawodawstwach krajowych dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, wskazującej między innymi na zróżnicowanie instrumentów ochrony danych w poszczególnych państwach, rozdrobnienie prawa w państwach członkowskich czy brak dostatecznej ochrony praw osób, których dane dotyczą. Rozporządzenie unijne, jako akt prawny wchodzący do porządku prawnego każdego państwa członkowskiego Unii i stosowany bezpośrednio

22 Ewa Kulesza przez państwa członkowskie na podstawie art. 288 TFUE 1, ujednolica ochronę danych osobowych w całej Unii Europejskiej. Jego bezpośrednie stosowanie ma zapewnić większą pewność prawa przez wprowadzenie ujednoliconego zestawu podstawowych przepisów, zwiększając w ten sposób między innymi ochronę praw podstawowych osób fizycznych, których dane są przetwarzane, ale także zagwarantować, że będzie to akt bezpośrednio stosowany przez wszystkie podmioty 2 we wszystkich państwach członkowskich Unii Europejskiej i w ramach jednakowej interpretacji przepisów. W RODO podkreślono jednocześnie, że aktualne pozostały cele i zasady dyrektywy 95/46/WE (motyw 9 preambuły), czego wyrazem jest nawiązanie w szerokim zakresie do dorobku legislacyjnego, orzeczniczego czy dorobku doktryny w zakresie ochrony danych osobowych, wypracowanego na gruncie obowiązujących wcześniej aktów prawnych. Doświadczenia zebrane w trakcie wdrażania dyrektywy 95/46/WE i przepisów prawa krajowego krajów Unii Europejskiej, jak też interpretacje dokonywane w ramach orzecznictwa sądowego nie tylko sądów krajowych państw członkowskich Unii Europejskiej, ale przede wszystkim orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, zostały wykorzystane zarówno na potrzeby formułowania nowych oraz modyfikowania dotychczasowych definicji pojęć, którymi posługuje się RODO, jak i do określania uprawnień czy obowiązków nakładanych na podmioty odpowiedzialne za wykonanie przepisów. Jednocześnie jednak RODO wprowadza daleko idące zmiany, zwłaszcza w zakresie obowiązków administratorów danych osobowych, w tym w kontekście uprawnień przysługujących osobom, których dane dotyczą. W niniejszym opracowaniu zostaną zasygnalizowane najważniejsze zmiany, zwłaszcza te, które stanowią nowość w zakreślaniu obowiąz 1 Przepis art. 288 TFUE wskazuje, że rozporządzenie, jako akt wydawany w celu wykonania kompetencji Unii, ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. 2 W. Wiewiórowski, Nowe ramy ochrony danych osobowych w Unii Europejskiej, M. Praw. 2012/7 (dodatek), s. 3.

Nowe obowiązki administratorów danych osobowych w świetle RODO 23 ków administratorów danych bądź znacząco modyfikują obowiązki istniejące do tej pory. 2. Pojęcie administratora danych osobowych w RODO Rozporządzenie, definiując pojęcie administratora danych osobowych, nawiązuje do pojęcia administratora danych osobowych znanego z dyrektywy 95/46/WE oraz, implementującej ją do ustawodawstwa polskiego, uchylonej już ustawy z 29.08.1997 r. o ochronie danych osobowych. Według art. 4 RODO, zawierającego definicje podstawowych pojęć występujących w rozporządzeniu administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Zgodnie z powoływaną definicją administratora elementem decydującym o uznaniu podmiotu przetwarzającego za administratora danych osobowych jest podobnie jak w przypadku definiowania pojęcia administratora w dyrektywie 95/46?WE przysługujące mu prawo do ustalania celów przetwarzania danych osobowych oraz sposobów przetwarzania danych, które łącznie składają się na władztwo nad danymi 3, co odróżnia administratora danych od podmiotu przetwarzającego, który przetwarza dane w imieniu administratora na podstawie umowy bądź innego instrumentu prawnego (art. 28 ust. 3 RODO), określającego 3 W literaturze wskazuje się, że pojęcie władztwo nad danymi nie jest tożsame z faktycznym posiadaniem danych czy przetwarzaniem danych, ponieważ przetwarzanie może być powierzone innemu podmiotowi. Por. P. Litwiński, P. Barta, M. Kawecki [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem danych. Komentarz, red. P. Litwiński, Warszawa 2018, art. 4 pkt 7, s. 217.

Teresa Wyka doktor habilitowany nauk prawnych; profesor Uniwersytetu Łódzkiego i Akademii Leona Koźmińskiego w Warszawie; kierownik Centrum Ochrony Danych Osobowych i Zarządzania Informacją na Wydziale Prawa i Administracji UŁ; kierownik Zakładu Prawa Ochrony Pracy w Katedrze Prawa Pracy UŁ; kierownik Zakładu Prawa Pracy w Katedrze Prawa Cywilnego ALK; członek Łódzkiego Towarzystwa Naukowego; autorka kilkudziesięciu publikacji naukowych z dziedziny prawa pracy, prawa ochrony pracy i prawa ochrony danych osobowych. Marcin A. Mielczarek doktor nauk prawnych; adiunkt w Katedrze Prawa Pracy Uniwersytetu Łódzkiego; autor publikacji z zakresu prawa pracy, w szczególności dotyczących czasu pracy, statusu prawnego bezrobotnego, dokumentacji pracowniczej oraz zakazu dyskryminacji religijnej w dostępie i korzystaniu z usług i instrumentów rynku pracy, a także wybranych aspektów neutralności światopoglądowej państwa, równouprawnienia oraz autonomii i niezależności związków wyznaniowych w kontekście prawa pracy i prawa ochrony danych osobowych. Książka stanowi pierwszą na rynku wydawniczym pozycję omawiającą sytuację prawną administratora i inspektora ochrony danych w oparciu o przepisy RODO oraz ustawodawstwo krajowe, z uwzględnieniem regulacji unijnych, polskich i obcych. Wśród jej autorów znajdują się wybitni przedstawiciele środowiska akademickiego oraz urzędniczego zajmujący się ochroną danych, w tym Generalny Inspektor Ochrony Danych Osobowych I i II kadencji oraz Prezes UODO I kadencji. W opracowaniu przedstawiono m.in. kwestie obowiązków administratora i odpowiedzialności za ich naruszenie, procesu kontroli organu nadzorczego i współpracy administratora z tym organem, współadministrowania danymi osobowymi i administrowania danymi biometrycznymi. Autorzy przybliżyli także status prawny inspektora ochrony danych, czyli osoby dysponującej fachową wiedzą na temat prawa i praktyk w dziedzinie ochrony danych, mającej wspomagać administratora i podmiot przetwarzający dane w przypadkach określonych w RODO. Analiza obowiązujących unormowań obejmuje m.in. zagadnienia samodzielności inspektora, jego kompetencji i umiejętności, odpowiedzialności za naruszenie obowiązków oraz podstaw prawnych zatrudniania, także w ujęciu prawnoporównawczym. Zwrócono również uwagę na specyfikę funkcjonowania inspektora ochrony danych w podmiotach publicznych, w szczególności w instytucjach odpowiedzialnych za zwalczanie przestępczości. Książka jest przeznaczona dla administratorów i inspektorów ochrony danych osobowych, pracowników administracji i działów HR, przedsiębiorców, naukowców i studentów oraz prawników praktyków zajmujących się omawianą dziedziną. ZAMÓWIENIA: INFOLINIA 801 04 45 45, FAX 22 535 80 01 ZAMOWIENIA@WOLTERSKLUWER.PL WWW.PROFINFO.PL CENA 129 ZŁ (W TYM 5% VAT)

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres